La tempête parfaite du PKI : comment faire d'une pierre trois coups (spoiler : la pierre est l'automatisation)
Les certificats de 47 jours, la cryptographie post-quantique (PQC) et les échéances de TLS mutuel (mTLS) s'entrechoquent. L'automatisation est la pierre qui les résout tous.
Nous connaissons tous l'expression "faire d'une pierre deux coups", c'est-à-dire avoir la possibilité d'accomplir deux tâches pour le prix d'une seule. Dans le monde de l'informatique, qui évolue rapidement, il est de bon ton de faire d'une pierre deux coups.
Comme nous l'avons évoqué dans un récent épisode du Root Causes Podcast, le monde de l'informatique, et plus particulièrement le paysage de l'infrastructure à clé publique (PKI), connaît des changements majeurs qui évoluent rapidement. Cette évolution confronte les organisations non pas à deux, mais à trois oiseaux majeurs simultanés, ou plutôt à des crises.
La bonne nouvelle ? La solution à toutes ces crises est la même. Il ne s'agit pas seulement de gérer des certificats, mais de parvenir à une gestion unifiée et transorganisationnelle du cycle de vie des certificats (CLM), grâce à une véritable automatisation.
Voici les trois défis de la PKI : les "trois oiseaux" qui sont sur le point de frapper votre entreprise simultanément, et comment un projet unique et coordonné peut les résoudre tous.
Cas 1 : La marche vers les 47 jours
L'industrie évolue rapidement vers des durées de vie des certificats plus courtes. Cette évolution vers des certificats de 47 jours oblige les organisations à adopter une cadence de renouvellement mensuelle des certificats avant la date limite de mars 2029. Cela signifie 12 fois plus de renouvellements et 12 fois plus de risques de pannes et de temps d'arrêt.
Pour les organisations qui s'appuient sur des feuilles de calcul manuelles, des tickets internes et des processus ad hoc, ce changement n'est pas un inconvénient, c'est une extinction. "Les anciennes méthodes deviendront de moins en moins tenables et finiront par s'effondrer complètement", explique Tim Callan dans cet épisode du podcast Root Causes. Si votre équipe a du mal à renouveler un certificat chaque année, imaginez qu'elle doive le faire tous les 47 jours.
La première étape de la survie : vous devez savoir exactement ce que vous avez en production, où ils se trouvent et qui en est responsable. Cela commence par la découverte.
Cas 2 : Le mandat de sécurité de la préparation à la cryptographie post-quantique (PQC)
La course à la sécurisation des systèmes contre les futures attaques quantiques est lancée. Pour les architectes de la sécurité, la préparation à la PQC est une entreprise de grande envergure, mais la phase initiale est identique à la préparation au mandat de 47 jours.
Quelle est la première étape de la préparation à la cryptographie post-quantique ? L'inventaire.
Vous devez localiser tous les actifs cryptographiques, comprendre leurs cas d'utilisation et déterminer leur priorité de migration. Bien que la CQP ne concerne pas seulement les certificats de serveur TLS, ceux-ci constituent la "part du lion" de la charge de travail immédiate. Ce mandat garantit qu'il y a déjà un chevauchement massif avec le défi opérationnel de la réduction des durées de vie.
Cas 3 : la date limite de dépréciation de la fin de TLS mutuel (mTLS)
Il s'agit de l'oiseau le plus récent, et peut-être le plus négligé. L'industrie a annoncé la déchéance définitive des certificats d'authentification client utilisés pour le TLS mutuel.
La date limite est très stricte : Le 15 juin 2026.
Les grandes entreprises ne savent peut-être même pas où elles utilisent actuellement un certificat de serveur pour l'authentification du client. Ce mandat impose une nouvelle recherche immédiate et à grande échelle dans l'environnement informatique afin d'identifier et de remplacer ces certificats.
Une fois de plus, la tâche à accomplir est la même : pouvez-vous dire, dès maintenant, le nombre exact de vos certificats de serveur TLS par rapport à vos certificats d'authentification client ? Pour la plupart, la réponse est "non".
La pierre : Unifier les efforts cloisonnés grâce à l'automatisation
Historiquement, ces problèmes sont gérés en silos. Un architecte de la sécurité rend compte au RSSI des menaces de la PQC, tandis qu'un responsable des opérations rend compte au DSI du mandat de 47 jours. Le travail est incroyablement redondant, ce qui peut conduire à un gaspillage de ressources, à des objectifs contradictoires et à des évaluations d'outils multiples et concurrents.
La "pierre" qui tue tous ces oiseaux est la gestion unifiée du cycle de vie des certificats (CLM) alimentée par l'automatisation.
La gestion du cycle de vie des certificats fournit l'arc de visibilité essentiel qui s'étend à l'ensemble de l'organisation, donnant une vue unique et centralisée de chaque certificat, indépendamment du type, du fournisseur ou de l'emplacement. En traitant les trois mandats comme un seul projet coordonné, les organisations peuvent :
- Construire un inventaire unique: Éliminer les efforts de recherche redondants.
- Automatiser le renouvellement: Mettre en œuvre un système capable de gérer les renouvellements mensuels des certificats de 47 jours sans intervention humaine.
- Faire preuve d'agilité: Obtenez la capacité d'identifier, de migrer et de remplacer rapidement les actifs, que ce soit en raison d'un PQC, d'une dépréciation de mTLS ou d'un événement de révocation.
Élever le niveau de la conversation
Pour que cette approche unifiée soit couronnée de succès, l'appropriation doit être élevée. Laisser ce travail aux "gens de terrain" (les administrateurs Linux ou les directeurs informatiques) entraînera une absence de vision d'ensemble.
Cette convergence des échéances est un problème de risque, et pas seulement un problème opérationnel. Elle requiert l'attention du directeur de la technologie, du directeur général ou du chef de produit : quelqu'un dont le champ d'action s'étend à la fois aux équipes de sécurité et aux équipes opérationnelles.
Si votre entreprise n'a pas encore lancé un projet unique et coordonné axé sur la visibilité et l'automatisation complètes des certificats, il est temps de commencer. Les échéances sont réelles, elles convergent et la sanction de l'inaction est une augmentation exponentielle des risques opérationnels et de sécurité.
Conclusion de l'étude
Sectigo est là pour vous aider. Notre objectif au sein de l'industrie est d'éduquer et d'informer les gens sur ces changements radicaux de l'industrie. En tant qu'autorité de certification réputée et fournisseur de CLM, nous développons des ressources pour vous aider à traverser ces changements monumentaux.
Notre boîte à outils 47 jours est une première étape pour entamer la discussion au sein de votre organisation sur l'automatisation avant la première échéance de mars 2026 à seulement 200 jours. Vous souhaitez en savoir plus ? Contactez-nous dès aujourd'hui et nous nous ferons un plaisir de vous orienter dans la bonne direction.